CN110633906A - 一种计及人因可靠性的变电站自动化方法失效风险评估方法 - Google Patents

Abstract

本发明公开了一种计及人因可靠性的变电站自动化方法失效风险评估方法，基于AHP‑SLIM的人因可靠性评估模型，基于行为影响体系分析计算对变电站中的人为失误概率。并提出基于功能分解的ISAS失效风险评估方法，考虑人为因素计算逻辑节点、逻辑连接等的失效概率，结合功能失效严重度计算功能失效风险，最终融合所有功能失效风险以评估ISAS的失效风险，可为调度部门的决策分析有着重要的指导性作用。

Description

一种计及人因可靠性的变电站自动化方法失效风险评估方法

技术领域

本发明涉及风险评估领域，一种计及人因可靠性的变电站自动化方法失效风险评估方法。

背景技术

智能电网建设是根据我国能源分布与负荷消费地域分布特点，适应我国当前和未来社会发展所采取的电网发展方式，对各类能源，尤其是大规模风电和太阳能发电的计入和送出适应性强，能够实现能源资源的大范围、高效率配置。我国智能电网的建设已经上升至国家战略层面的高度。智能变电站是坚强智能电网建设中实现能源转化和控制的核心平台之一，前景十分广阔。

智能变电站是智能电网的重要组成部分，因此，保证智能变电站自动化系统(intelligent substation automation system,ISAS)的安全对于整个智能电网的安全、可靠、经济运行有着极为重大的意义。

发明内容

本发明的目的是针对考虑人为失误概率，提供一种计及人因可靠性的变电站自动化方法失效风险评估方法。

本发明的目的是通过以下技术方案实现的，一种计及人因可靠性的变电站自动化方法失效风险评估方法，该方法由为人失误概率评估和智能变电站自动化系统ISAS失效风险评估两大板块构成，

所述人失误概率评估包括如下步骤：

(1.1)建立行为影响体系；

(1.2)根据步骤(1.1)建立的的行为影响体系，利用AHP-SLIM方法评估人为失效概率；

所述智能变电站自动化系统ISAS失效风险评估包括如下步骤：

(2.1)采用功能分解方法，将智能变电站自动化系统ISAS中各类功能分解为功能F、逻辑节点LN、逻辑连接LC；

(2.2)计算功能失效概率；

(2.3)计算功能失效严重度；

(2.4)计算ISAS失效风险。

进一步的，该体系共分为5类一级影响因素，包括：个人因素、组织因素、团队因素、环境因素以及信息因素；每种一级影响因素下又包含多种二级因素；每种影响因素代表了电力系统工作人员在工作时可能受到影响的方面，该体系不仅适用于人为失误根源的定性分析，还可作为各因素对人员行为影响的定量分析的基础；为了定量分析每种因素的影响程度，采用面向专家的问卷调查方法；每类二级因素均具有1至10的等级划分，数字越小说明情况越恶劣；而当评级为10时，说明该因素在防止人为失误上有着最佳的作用。

进一步的，所述步骤(1.2)包括一下两个子步骤：

(1.2.1)利用层次分析法计算各项行为影响因素的权重系数；

(1.2.1.1)假设分析场景下有n个二级行为影响因素，征询本领域专家意见，依据表1对不同的决定性因素进行一一比较，构建判别矩阵A如下：

该矩阵满足a_ji＝1/a_ij，且a_ji(j<＝i)的取值遵循表1；

(1.2.1.2)对矩阵A中的各列进行归一化处理，得到A1矩阵；

(1.2.1.3)A1矩阵各行求和，得到列向量W；

(1.2.1.4)对列向量W进行归一化处理，即得权重系数向量W1；

(1.2.1.5)一致性检验，若不能通过检验，则需对判别矩阵A进行修正，直至满足要求；

表1：AHP判别矩阵取值说明：

(1.2.2)综合每个决定性因素的权重与价值，利用式(1)计算成功似然指数(SLI)；

SLI＝∑ω_iv_i, 0≤SLI≤10 (1)

式中，ω_i为第i项决定性因素的重要度权重，v_i为第i项决定性因素的价值，

(1.2.3)采用式(2)将SLI转化为人为失误概率HEP：

HEP＝exp(a×SIL+b) (2)

式中，a和b均为常数，依据历史数据进行拟合得到。

进一步的，所述步骤(2.1)中，

1)功能F：ISAS所需完成的任务；ISAS被划分为若干项基础功能；

2)逻辑节点LN：某功能中，进行数据交换的最小组成部分，是对硬件、软件或人因的抽象；

3)逻辑连接LC：不同逻辑节点间的通信链接。

4.根据权利要求1所述的计及人因可靠性的变电站自动化方法失效风险评估方法，其特征在于，所述步骤(2.2)具体如下：

对于某操作人员控制的自动化设备D，考虑人为因素后，对其故障率进行修正：

p′_D＝1-(1-p_D)(1-HEP) (4)

式中，p_D为忽略人为因素的设备故障概率；

假设：

1)某物理设备中的所有逻辑节点与逻辑连接具有相同的失效概率，与该设备失效概率相一致；

2)功能、逻辑节点及逻辑连接仅存在两种状态，工作状态与失效状态；

3)当某逻辑节点或逻辑连接处于失效状态时，其所属功能也处于失效状态；

4)不同功能间的失效事件相互独立；

5)忽略所有通信时间延迟；

因此，基于以上假设，可得如下结论：

1)设备D中的逻辑节点LN，其失效概率为p_LN＝p’_D；

2)连接设备D中两个逻辑节点的逻辑连接LC，其失效概率为p_LC＝p’_D；

3)对于连接不同设备(D₁，D₂)中的两个逻辑节点(LN₁，LN₂)的逻辑连接LC，其失效概率如下：

式中，m为两台设备间的通信连接开关数，p_swi是开关i的失效概率，n为两台设备间的通信线路数，p_clj为通信线路j的失效概率；

依据功能分解原理，可将功能视作一系列逻辑节点与逻辑连接的集合，因此功能F的失效概率为：

式中，N_LN和N_LC分别表示本功能中所包含的逻辑节点数与逻辑连接数，P_LNi和P_LCj则分别表示第i个逻辑节点与第j个逻辑连接的失效概率。

进一步的，所述步骤(2.3)具体如下：

信息安全要素被划分为9个等级(数字越大，等级越高)；逻辑连接价值和功能失效严重度应当能区别反映主要影响因素与次要影响因素，因此逻辑连接价值与功能失效严重度的定义为：

式中，V_LCj为第j个逻辑连接的价值，S_F为功能F的失效严重度，c_j，i_j，a_j分别表示第j个逻辑连接所传递的通信信息片的保密性、完整性及可用性指标的等级，对7种类型的通信信息片给出了相应的安全要素评级，如表2所示；

表2通信信息片安全要素评级

进一步的，所述步骤(2.4)具体如下：

依据风险评估的基本概念，功能失效风险应综合反映功能失效的概率与严重度，因此定义该风险为：

R_F＝p_F×S_F (8)

由于不同功能对于系统的影响并不一致，因此引入风险转移权重来代表功能对于ISAS的重要程度，该权重系数可利用层次分析法计算得到；最后，结合该风险转移权重与功能失效风险即可得到ISAS失效风险：

式中，N_F为ISAS中的功能数，

为第i个功能的风险转移权重。

本发明的有益效果：本文提出了一种计及人因可靠性的变电站自动化方法失效风险评估方法，对传统的ISAS失效风险评估方法做出了改进，采用AHP-SLIM方法可根据不同人因场景获取相应的人为失误概率，且可自由选择人因决定性因素满足不同的分析需求。基于功能分解的ISAS失效风险评估方法能将风险细化至每个功能及其所含逻辑节点与逻辑连接，使各项风险有据可循。充分考虑人为因素对方法风险可靠性影响，使方法风险评估更加全面可靠。

附图说明

以下附图仅旨在于对本发明做示意性说明和解释，并不限定本发明的范围。其中，

图1为本发明的AHP-SLIM评估方法流程图；

图2为本发明的距离保护功能分解示意图；

图3为本发明的T1-1型变电站电气接线与逻辑节点示意图；

图4为本发明的ISAS风险受人为因素影响情况示意图。

具体实施方式

下面结合说明书附图对本发明作进一步的说明。

一种计及人因可靠性的变电站自动化方法失效风险评估方法，其特征在于，该方法由为人失误概率评估和智能变电站自动化系统ISAS失效风险评估两大板块构成，所述行为影响体系可以有效评估人为失误概率；人为失误概率又对ISAS失效风险评估有着至关重要的作用。

1.人为失误概率评估

(1.1)行为影响体系

随着人因可靠性分析(HRA)方法的不断发展，许多研究者建立了各自的行为影响体系，尽管这些体系各有差异，但基本遵循了以下三个原则：

1)体系所面向的分析目标应明确。

2)行为影响因素间互相独立，避免冗余。

3)行为影响因素应对人员行为有确实的影响，而非随意捏造。

针对电力方法工作人员的操作环境，结合常规人因可靠性分析理论，建立了相应的行为影响体系。该体系共分为5类一级影响因素，包括：个人因素、组织因素、团队因素、环境因素以及信息因素。每种一级影响因素下又包含多种二级因素，如下所示。

每种影响因素代表了电力方法工作人员在工作时可能受到影响的方面，该体系不仅适用于人为失误根源的定性分析，还可作为各因素对人员行为影响的定量分析的基础。为了定量分析每种因素的影响程度，一般采用面向专家的问卷调查方法。每类二级因素均具有1至10的等级划分，数字越小说明情况越恶劣。而当评级为10时，说明该因素在防止人为失误上有着最佳的作用。

(1.2)AHP-SLIM评估方法

成功似然指数法是一种简单灵活的概率可靠性分析方法，且融合专家经验后，可用于评估人为失误概率。与其他人因可靠性评估方法相比，该方法更为灵活，且可在一定程度上降低主观判断带来的误差。SLIM认为在特定环境下，人为失误主要取决于几种二级因素，这些因素又被称为决定性因素。SLIM模型给出了利用给定决定性因素来判断人为失误概率的方法，包括两个步骤：

1)综合每个决定性因素的权重与价值，利用式(1)计算成功似然指数(SLI)；

2)采用式(2)将SLI转化为人为失误概率。

SLI＝∑ω_iv_i, 0≤SLI≤10 (1)

HEP＝exp(a×SIL+b) (2)

式中，ωi为第i项决定性因素的重要度权重，vi为第i项决定性因素的价值，a和b均为常数。显然，所有决定性因素的重要程度并不相同，因此本文采用层次分析法对这些因素的权重与价值进行取值，以降低主观判断带来的误差。

层次分析法通常被用来解决集合了定性与定量分析的复杂问题，具体的步骤如下：

1)假设分析场景下有n个二级行为影响因素，征询本领域专家意见，依据表1对不同的决定性因素进行一一比较，构建判别矩阵A如下：

该矩阵满足a_ji＝1/a_ij，且a_ji(j<＝i)的取值遵循表1。

表1：AHP判别矩阵取值说明：

2)对矩阵A中的各列进行归一化处理，得到A1矩阵。

3)A₁矩阵各行求和，得到列向量W。

4)对列向量W进行归一化处理，即得权重系数向量W₁。

5)一致性检验，若不能通过检验，则需对判别矩阵A进行修正，直至满足要求。

综上所述，AHP-SLIM方法详细步骤如下，流程图如图1所示。

1)获取分析场景，依据场景，选定决定性因素集合。

2)采用层次分析法获得权重系数向量W₁，并依据专家意见获得决定性因素对应价值。

3)根据式(1)、(2)计算得到人为失误概率HEP。

2.ISAS失效风险评估方法

ISAS的故障失效不仅仅受到单个硬件设备的影响，而应计及多方面因素，包括硬件设备、软件方法、通信要素以及人为因素等等。

(2.1)功能分解方法

将ISAS中各类功能分解为逻辑节点与逻辑连接，而通信信息片经由逻辑连接在逻辑节点间传递。

对于功能、逻辑节点及逻辑连接的定义为

1)功能F：ISAS所需完成的任务。ISAS可被划分为若干项基础功能(如量测功能、过电流保护功能等)。

2)逻辑节点LN：某功能中，进行数据交换的最小组成部分，是对硬件、软件或人因的抽象。

3)逻辑连接LC：不同逻辑节点间的通信链接，且具有方向性。

以距离保护功能为例，对其进行功能分解如图2所示。

(2.2)功能失效概率

对于某操作人员控制的自动化设备D，考虑人为因素后，对其故障率进行修正：

p′_D＝1-(1-p_D)(1-HEP)(4)

式中，p_D为忽略人为因素的设备故障概率。

为使分析过程简便，本文作以下假设：

1)某物理设备中的所有逻辑节点与逻辑连接具有相同的失效概率，与该设备失效概率相一致；

2)功能、逻辑节点及逻辑连接仅存在两种状态，工作状态与失效状态；

3)当某逻辑节点或逻辑连接处于失效状态时，其所属功能也处于失效状态；

4)不同功能间的失效事件相互独立；

5)忽略所有通信时间延迟。

因此，基于以上假设，可得如下结论：

1)设备D中的逻辑节点LN，其失效概率为p_LN＝p’_D。

2)连接设备D中两个逻辑节点的逻辑连接LC，其失效概率为p_LC＝p’_D

3)对于连接不同设备(D₁，D₂)中的两个逻辑节点(LN₁，LN₂)的逻辑连接LC，其失效概率如下：

式中，m为两台设备间的通信连接开关数，p_swi是开关i的失效概率，n为两台设备间的通信线路数，p_clj为通信线路j的失效概率。

依据功能分解原理，可将功能视作一系列逻辑节点与逻辑连接的集合，因此功能F的失效概率为：

式中，N_LN和N_LC分别表示本功能中所包含的逻辑节点数与逻辑连接数，P_LNi和P_LCj则分别表示第i个逻辑节点与第j个逻辑连接的失效概率。

(2.3)功能失效严重度

ISAS的各类功能的有效实现，依赖于逻辑连接中通信信息片传递的准确性，因此信息安全要素(包括保密性、完整性和可用性)可用于描述ISAS功能失效的严重程度。因此，通信信息片的价值决定了逻辑连接价值，而逻辑连接价值则决定了功能失效严重度。

信息安全要素被划分为9个等级(数字越大，等级越高)。逻辑连接价值和功能失效严重度应当能区别反映主要影响因素与次要影响因素，因此本文逻辑连接价值与功能失效严重度的定义为

式中，V_LCj为第j个逻辑连接的价值，S_F为功能F的失效严重度，c_j，i_j，a_j分别表示第j个逻辑连接所传递的通信信息片的保密性、完整性及可用性指标的等级，对7种类型的通信信息片给出了相应的安全要素评级，如表2所示；

表2通信信息片安全要素评级

(2.4)ISAS失效风险

依据风险评估的基本概念，功能失效风险应综合反映功能失效的概率与严重度，因此定义该风险为

R_F＝p_F×S_F

由于不同功能对于方法的影响并不一致，因此引入风险转移权重来代表功能对于ISAS的重要程度，该权重系数可利用层次分析法计算得到。最后，结合该风险转移权重与功能失效风险即可得到ISAS失效风险：

式中，N_F为ISAS中的功能数，

为第i个功能的风险转移权重。

实例：

本文以T1-1型变电站为例，如图3，进行ISAS失效风险评估。T1-1型变电站可划分为四个间隔，分别为D1Q1，E1Q2，E1Q1及E1Q3，其电气接线及逻辑节点如图3所示，主要功能如表3所示。

表3T1-1型变电站ISAS功能

首先，确定人为失误的决定性因素(价值)为：知识经验KE(4)、团队合作TC(3)、工作环境WC(3)、任务数量TL(8)、时间紧迫度TU(7)以及情景认知SP(4)，并征询意见构建判别矩阵，如表4。

表4判别矩阵A

利用层次分析法计算得到决定性因素的权重系数向量为

W₁＝[0.1564 0.2127 0.3057 0.1167 0.0477 0.1608]^T

利用SLIM方法，常数a、b分别取值为-0.35与10^-2，计算该场景下，人为失误概率HEP为0.2412。并利用式(4)对人机互动单元的故障率进行修正，如表5所示。

表5设备故障率修正

对各个功能的失效概率、失效严重度以及失效风险进行评估，得到结果如表6所示。依据式(9)可得本场景下，ISAS失效风险为2.4719。若不考虑人为失效概率，则ISAS失效风险为0.7154。可见，人为因素对于ISAS风险影响是可观的。

表6功能失效风险统计

令人因环境由恶劣向良好过渡(SLI由1增至10)，分别计算系统风险的变化情况，如图4所示。由图4可知，随着人因可靠性逐渐转好(SLI逐渐变大)，系统风险也不断降低。当人因可靠性达到最佳(SLI＝10)时，系统风险为0.9375，仍高于未考虑人为因素时的系统风险。说明即使工作人员的各方面条件与所处环境都非常理想时，仍有操作失误的可能。

因此，本文所提出的计及人因可靠性的ISAS失效风险评估方法能有效表征人为因素对于变电站自动化系统可靠性的定量影响，作为预警标志向工作人员发出警示，为调度决策人员提供风险信息支持。

Claims (7)

1.一种计及人因可靠性的变电站自动化方法失效风险评估方法，其特征在于，该方法由为人失误概率评估和智能变电站自动化系统ISAS失效风险评估两大板块构成，

所述人失误概率评估包括如下步骤：

(1.1)建立行为影响体系；

(1.2)根据步骤(1.1)建立的的行为影响体系，利用AHP-SLIM方法评估人为失效概率；

所述智能变电站自动化系统ISAS失效风险评估包括如下步骤：

(2.1)采用功能分解方法，将智能变电站自动化系统ISAS中各类功能分解为功能F、逻辑节点LN、逻辑连接LC；

(2.2)计算功能失效概率；

(2.3)计算功能失效严重度；

(2.4)计算ISAS失效风险。

2.根据权利要求1所述的方法，其特征在于，该体系共分为5类一级影响因素，包括：个人因素、组织因素、团队因素、环境因素以及信息因素；每种一级影响因素下又包含多种二级因素；每种影响因素代表了电力系统工作人员在工作时可能受到影响的方面，该体系不仅适用于人为失误根源的定性分析，还可作为各因素对人员行为影响的定量分析的基础；为了定量分析每种因素的影响程度，采用面向专家的问卷调查方法；每类二级因素均具有1至10的等级划分，数字越小说明情况越恶劣；而当评级为10时，说明该因素在防止人为失误上有着最佳的作用。

3.根据权利要求1所述的方法，其特征在于，所述步骤(1.2)包括一下两个子步骤：

(1.2.1)利用层次分析法计算各项行为影响因素的权重系数；

(1.2.1.1)假设分析场景下有n个二级行为影响因素，征询本领域专家意见，依据表1对不同的决定性因素进行一一比较，构建判别矩阵A如下：

该矩阵满足a_ji＝1/a_ij，且a_ji(j<＝i)的取值遵循表1；

(1.2.1.2)对矩阵A中的各列进行归一化处理，得到A1矩阵；

(1.2.1.3)A1矩阵各行求和，得到列向量W；

(1.2.1.4)对列向量W进行归一化处理，即得权重系数向量W1；

(1.2.1.5)一致性检验，若不能通过检验，则需对判别矩阵A进行修正，直至满足要求；

表1：AHP判别矩阵取值说明：

(1.2.2)综合每个决定性因素的权重与价值，利用式(1)计算成功似然指数(SLI)；

SLI＝∑ω_iv_i, 0≤SLI≤10 (1)

式中，ω_i为第i项决定性因素的重要度权重，v_i为第i项决定性因素的价值，

(1.2.3)采用式(2)将SLI转化为人为失误概率HEP：

HEP＝exp(a×SIL+b) (2)

式中，a和b均为常数，依据历史数据进行拟合得到。

4.根据权利要求1所述的方法，其特征在于，所述步骤(2.1)中，

1)功能F：ISAS所需完成的任务；ISAS被划分为若干项基础功能；

2)逻辑节点LN：某功能中，进行数据交换的最小组成部分，是对硬件、软件或人因的抽象；

3)逻辑连接LC：不同逻辑节点间的通信链接。

5.根据权利要求1所述的计及人因可靠性的变电站自动化方法失效风险评估方法，其特征在于，所述步骤(2.2)具体如下：

对于某操作人员控制的自动化设备D，考虑人为因素后，对其故障率进行修正：

p′_D＝1-(1-p_D)(1-HEP) (4)

式中，p_D为忽略人为因素的设备故障概率；

假设：

1)某物理设备中的所有逻辑节点与逻辑连接具有相同的失效概率，与该设备失效概率相一致；

2)功能、逻辑节点及逻辑连接仅存在两种状态，工作状态与失效状态；

3)当某逻辑节点或逻辑连接处于失效状态时，其所属功能也处于失效状态；

4)不同功能间的失效事件相互独立；

5)忽略所有通信时间延迟；

因此，基于以上假设，可得如下结论：

1)设备D中的逻辑节点LN，其失效概率为p_LN＝p’_D；

2)连接设备D中两个逻辑节点的逻辑连接LC，其失效概率为p_LC＝p’_D；

3)对于连接不同设备(D₁，D₂)中的两个逻辑节点(LN₁，LN₂)的逻辑连接LC，其失效概率如下：

式中，m为两台设备间的通信连接开关数，p_swi是开关i的失效概率，n为两台设备间的通信线路数，p_clj为通信线路j的失效概率；

依据功能分解原理，可将功能视作一系列逻辑节点与逻辑连接的集合，因此功能F的失效概率为：

式中，N_LN和N_LC分别表示本功能中所包含的逻辑节点数与逻辑连接数，P_LNi和P_LCj则分别表示第i个逻辑节点与第j个逻辑连接的失效概率。

6.根据权利要求1所述的方法，其特征在于，所述步骤(2.3)具体如下：

信息安全要素被划分为9个等级(数字越大，等级越高)；逻辑连接价值和功能失效严重度应当能区别反映主要影响因素与次要影响因素，因此逻辑连接价值与功能失效严重度的定义为：

式中，V_LCj为第j个逻辑连接的价值，S_F为功能F的失效严重度，c_j，i_j，a_j分别表示第j个逻辑连接所传递的通信信息片的保密性、完整性及可用性指标的等级，对7种类型的通信信息片给出了相应的安全要素评级，如表2所示；

表2通信信息片安全要素评级

7.根据权利要求1所述的方法，其特征在于，所述步骤(2.4)具体如下：

依据风险评估的基本概念，功能失效风险应综合反映功能失效的概率与严重度，因此定义该风险为：

R_F＝p_F×S_F (8)

由于不同功能对于系统的影响并不一致，因此引入风险转移权重来代表功能对于ISAS的重要程度，该权重系数可利用层次分析法计算得到；最后，结合该风险转移权重与功能失效风险即可得到ISAS失效风险：

式中，N_F为ISAS中的功能数，为第i个功能的风险转移权重。

Images